- •Содержание
- •1 Введение
- •2 Нормативные ссылки
- •3 Термины и определения
- •4 Сокращения
- •5 Понятие и применение компьютерных технологий, как специальных знаний, при расследовании преступлений
- •5.2 Применение компьютерной технологии в криминалистической деятельности
- •5.3 Роль экспертно-криминалистических подразделений
- •5.4 Краткий список специальных технических средств
- •5.5 Этапы проведения расследования
- •5.6 Контр-Форензика
- •5.7 Заключение к разделу
- •6 Компьютерные преступления
- •6.1 Криминалистическая характеристика
- •6.2 Онлайн-мошенничество
- •6.3 Клевета и оскорбления в сети
- •6.4Dos-атаки
- •6.5 Вредоносные программы
- •6.6 Другое
- •6.7 Заключение по разделу
- •8 Исследование работы системы Traffic Monitor
- •8.1 Определение угроз информационной безопасности
- •8.2 Анализ подходов к формированию и классификации множества угроз
- •8.3 Способы защиты от утечек конфиденциальной информации
- •8.4 Комплексная системаInfoWatchTrafficMonitor
- •8.5 Выводы
- •9 Разработка научно-методических рекомендаций по построению системы защиты конфиденциальной информации компании от внутренних утечек
- •10 Технико-экономическое обоснование
- •11 Безопасность жизнедеятельности
8.3 Способы защиты от утечек конфиденциальной информации
На сегодняшний день существует два основных способа защиты от утечек данных:
Организационный подход;
Технические меры.
Рассмотрим оба способа более подробно.
Организационный подход предполагает разработку различных политик, правил и процедур. Основная задача организационных мер – обеспечить корректный доступ ко всем данным предприятия, а также мотивировать работников заботиться о безопасности. После их реализации каждый сотрудник компании знает, к каким данным он может обращаться с теми или иными правами.
Даже после внедрения всех должных организационных мер останутся сотрудники, имеющие вполне легальный доступ к конфиденциальным данным. Понятно, что такие люди останутся, поскольку любые, даже самые секретные данные бесполезны, если никто не может их прочитать. С другой стороны, именно такие «легальные» сотрудники представляют наибольшую опасность для предприятия. Такие люди могут легко вынести наружу те данные, к которым они имеют официальный доступ. Чтобы избежать подобных утечек, наряду с организационными необходимо применять технические меры. Независимо от конкретного решения, смысл этих мер сводится к контролю над действиями тех сотрудников, которые имеют легальный доступ к конфиденциальным данным. В большинстве случаев под контролем подразумевается мониторинг всех возможных каналов, по которым могут произойти утечки.
Грамотная защита компании от утечки сводится к комплексу организационных и технических мер, причём организационные меры здесь первичны.
Существуют два основных подхода к мониторингу каналов утечки. Первый подход подразумевает внедрение точечных решений, ориентированных на отдельный канал (электронную почту, Интернет-трафик или мобильные устройства). Подобные решения могут заниматься не только отслеживанием утечек данных, но и решать ряд сопутствующих проблем, таких как контроль доступа или архивирование почтовой корреспонденции. Однако применение точечных систем для защиты от утечек имеет ряд очевидных недостатков:
1) дороговизна и трудоемкость;
2) снижение производительности.
Все эти недостатки можно минимизировать с помощью периметровых решений: они защищают сразу весь периметр организации, выполняя работу по выявлению и предотвращению утечек конфиденциальной информации. Кроме того, та же система может способствовать исполнению «внешних» требований по защите информации, предъявляемых партнёрами или государственными органами. Например, служить гарантией выполнения требований по обработке персональных данных. При этом используется единая консоль управления, единая база контентной фильтрации, а также централизованное хранилище всех событий и данных, покидающих корпоративную сеть. Одним из таких решений является InfoWatch Traffic Monitor 3.1.
8.4 Комплексная системаInfoWatchTrafficMonitor
Рынок продуктов для защиты от внутренних угроз сейчас находится в стадии бурного роста. На нем сегодня присутствуют десятки продуктов, в той или иной мере позволяющие уменьшить риск утечки информации через собственных сотрудников. Однако, большинство из них контролирует один-два канала утечки, не давая возможность компаниям организовать комплексную защиту.
InfoWatch Traffic Monitor осуществляет мониторинг и фильтрацию данных, передаваемых как внутри сети компании, так и за ее пределы. Решение позволяет анализировать широкий спектр протоколов, включая электронную почту (SMTP, Lotus) веб-трафик (HTTP), интернет - пейджеры (IM), данные, передаваемые на печать, а также копируемые на сменные носители (модуль InfoWatch Device Monitor) (см. Приложение А).
Комплексное решение IW TM 4.1 в отслеживает в режиме on-line операции вывода конфиденциальной информации из информационной системы компании (пересылка по корпоративной и web-почте, публикация в Интернет, печать, копирование файлов на сменные носители и т.д.), позволяет в автоматическом и полуавтоматическом режиме блокировать подозрительные операции.
IW TM 4.1 хранит содержимое всех операций по выносу информации за пределы информационной системы компании по любому из названных каналов и позволяет делать аналитические выборки из него для расследования случаев утечки данных. Централизованная консоль управления позволяет офицеру ИТ-безопасности контролировать работу всех компонентов решения, осуществлять мониторинг действий пользователей, настраивать политику ИТ-безопасности и создавать статистические отчеты.
Архитектура комплексного решения IW TM 4.1 носит распределенный характер и включает в себя следующие программные компоненты:
• Ядро системы – хранилище информационных объектов и событий в системе, система централизованного управления перехватчиками и центральная консоль Офицера ИТ-безопасности.
• Перехватчик InfoWatch Web Monitor (IWWM) – контролирует движение информации в сеть Интернет, в том числе веб-почту, форумы и чаты. IWWM сканирует исходящий Интернет-трафик, выделяет подозрительный и запрещенный к отправке через эти каналы контент, блокирует пересылку информации, которая содержит или может содержать конфиденциальные данные .
Перехватчик реализован в двух архитектурах: Transparent Proxy и plug-in для сервера Microsoft ISA.
• Перехватчик InfoWatch Mail Monitor (IWMM) предназначен для предотвращения утечки информации через корпоративную почтовую систему. IWMM сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Перехватчик реализован в двух архитектурах: SMTP-Gateway и plug-in для сервера Lotus Notes.
• Перехватчик InfoWatch ICQ Monitor – (IWIM) в режиме реального времени сканирует трафик обмена информацией через ICQ и, при выявлении конфиденциального контента, может блокировать передачу данных. Перехватчик реализован в архитектуре Transparent Proxy.
• Перехватчик InfoWatch Device Monitor (IWDM) контролирует действия пользователей с отчуждаемыми устройствами хранения информации. Он позволяет организовать использование портативных устройств хранения информации и коммуникационных портов, а также передавать на анализ Ядру содержание копируемых на сменные носители файлов. Перехватчик реализован в виде агента на рабочей станции.
• Перехватчик InfoWatch Print Monitor (IWPM) выполняет мониторинг петаемых документов и, при обнаружении конфиденциального контента, может блокировать печать документа. Перехватчик реализован в виде виртуального принтера.
Система поставляется в виде Ядра и минимум одного перехватчика.
Все перехватчики передают информационных объекты в Ядро системы для атрибутного и контентного анализа, на основании которого выполняется заранее назначенный сценарий – пропуск информации, ее блокирование, оповещение офицера безопасности, помещение в карантин и т.д.
Хранилище информационных объектов и событий, являющееся частью Ядра системы, позволяет накапливать информацию о событиях, инцидентах и маршрутах перемещения конфиденциальных данных, покидающих корпоративную сеть. Этим обеспечивается ведение протокола операций с чувствительной информацией, что является необходимым требованием большинства законодательных регулирующих норм.
Удобную обработку информации, накопленной хранилищем, позволяет осуществить сервер отчетов. С его помощью можно создать широкий диапазон как стандартных, так и настроенных офицером ИТ-безопасности отчетов.
Рабочее место офицера безопасности представляет собой web-консоль управления, на которую поступают оповещения о нарушении политики внутренней безопасности.
Интеграция Ядра системы с популярным LDAP обеспечивает единую идентификацию пользователей, выполнивших действие с информационным объектом независимо от канала, по которому оно было перехвачено.
Ввиду многомодульного характера IW TM 4.1 требования к аппаратному обеспечению формулируются для каждого компонента решения отдельно. Требования к аппаратному обеспечению зависят от объема информационных потоков и размера хранимой информации.